Microsoft hat in den Monaten seit den Enthüllungen, die auf den von Edward Snowden veröffentlichten Dokumenten basieren, einige Erklärungen gemacht. Mit diesem Beitrag wollen wir ein Update bereitstellen zu unseren Aussagen rund um Themen wie Überwachung durch Regierungen, Anordnungen auf Basis von FISA (Foreign Intelligence Surveillance Act, Gesetz zum Abhören in der Auslandsaufklärung), Sicherheit und Datenschutz von Kundendaten in der Microsoft-Cloud.
Im Verlauf der letzten Monate haben die Medienberichte über die von Edward Snowden veröffentlichten Dokumente berechtigte Fragen aufgeworfen hinsichtlich der Gesetze, auf deren Basis Regierungen die Herausgabe von Kundendaten verlangen oder Daten außerhalb des rechtlichen Rahmens mitschneiden. Diskutiert wurde auch über das Wissen beziehungsweise die Zusammenarbeit mit Unternehmen wie Microsoft, wenn es um den Zugriff von Regierungen auf Kundendaten ging.
In dieser Zeit verstanden die Medien, Kunden und auch Internet-Unternehmen mehr und mehr, was die Snowden-Dokumente eigentlich beschreiben. Darüber hinaus versteht die Öffentlichkeit inzwischen auch, dass nur ein kleiner Teil der Bevölkerung von der rechtmäßigen Herausgabe von Kundendaten betroffen ist. Die jüngsten Verbesserungen hinsichtlich der Transparenz von FISA-Anordnungen lässt Microsoft und andere Internet-Unternehmen zumindest die Anzahl der Anordnungen sowie der National Security Letter (Nationaler Sicherheitsbrief) veröffentlichen. Wenngleich wir hierbei gerne weiter ins Detail gehen würden.
Die Öffentlichkeit hat zudem die reale Bedrohung erfasst, die von Regierungen ausgeht, die außerhalb des rechtlichen Rahmens mit technischem Aufwand auf Kundendaten zugreift. Microsoft geht gegen diese Art des Zugriffs durch Regierungen auf rechtlichem und technischem Weg vor.
Microsoft hat in der öffentlichen Debatte eine Führungsrolle inne und fordert gemeinsam mit anderen Unternehmen fünf einzelne Reformen. Diese sollen die Balance wahren zwischen dem Schutz persönlicher Daten und der persönlichen Sicherheit. Als Reaktion hierauf hat die US-Regierung Änderungen angekündigt und der Kongress wurde damit beauftragt, weitere Reformen zu entwerfen und umzusetzen.
Microsoft hat seine Standpunkte zu Compliance sowie technischen und rechtlichen Schutzmaßnahmen für Kundendaten und die Notwendigkeit von Reformen durch verschiedene Blog-Postings untermauert:
- Microsoft’s U.S. law enforcement and national security requests for last half of 2012 (14. Juni 2013)
- Responding to government legal demands for customer data (16. Juli 2013)
- Standing together for greater transparency (30. August 2013)
- Protecting customer data from government snooping (04. Dezember 2013)
- Reforming government surveillance (08. Dezember 2013)
- An international convention on government access to data (20. Januar 2014)
- Providing additional transparency on US government requests for customer data,(03. Februar 2014)
Einige allgemeine Aussagen von Microsoft über die NSA und die Snowden-Enthüllungen:
- Die Menge an Daten, die wir aufgrund rechtlicher Vorgaben mit Regierungen teilen, wurde übertrieben dargestellt. Wir haben Daten veröffentlicht die belegen, dass nur ein winziger kleiner Teil eines Prozents unsere Kunden im Mittelpunkt von Forderungen durch Regierungen standen.
- Genau wie viele andere sind auch wir alarmiert aufgrund der weitreichenden und konzertierten Maßnahmen, mit denen einige Regierungen Online-Sicherheitsmechanismen aushebeln, um im großen Stil private Daten während der Übertragung abzufangen.
- Wir greifen zu umfangreichen Maßnahmen, um unsere Kunden noch besser vor Zugriffen durch Regierungen zu schützen, die außerhalb das rechtlichen Rahmens liegen. Wir haben zwar keinerlei Hinweise darauf, dass es zum Abfluss von Kundendaten kam. Aber wir nehmen uns dieser Bedrohung dennoch an durch das Ausweiten von technischen und juristischen Maßnahmen.
- Menschen nutzen keine Technik, der sie nicht vertrauen. Regierungen gefährden dieses Vertrauen und sie müssen daher mithelfen, es wieder her zu stellen.
Die häufigsten Fragen an Microsoft und unsere Antworten:
Frage: Gewährt Microsoft der Regierung Zugriff auf Kundendaten?
Antwort: Wir übergeben Kundendaten, wenn wir eine rechtlich bindende Anordnung oder eine Vorladung erhalten – aber niemals auf freiwilliger Basis. Darüber hinaus befolgen wir nur Anordnungen spezifische Konten betreffend. Wir erlauben keiner Regierung direkten und ungefilterten Zugriff auf die Daten unserer Kunden. (Stand: 16. Juli 2013)
Frage: Einige Menschen haben aus den Snowden-Dokumenten herausgelesen, dass Microsoft der Regierung geholfen habe, Verschlüsselungsmechanismen in einzelnen Produkten auszuhebeln. Was sagt Microsoft hierzu?
Antwort: Um es deutlich zu machen: Microsoft versetzt keine Regierung in die Lage, Verschlüsselungen zu brechen und liefert auch keine Schlüssel zum Entschlüsseln an Regierungen. Informationen darüber, welchen Zugriff wir der Regierung auf Dienste wie Outlook.com, SkyDrive (jetzt OneDrive), Skype-Telefonate oder E-Mail- und Dokumentenspeicher von Unternehnen gewährten, liefert ein Blogbeitrag.
Frage: Im Oktober 2013 legten Enthüllungen über ein NSA-Programm (MUSCULAR) nahe, dass die Regierung die Zugriff hatte auf die ausländischen Kommunikationsverbindungen von Google und Yahoo. Wurde auch auf die Verbindungen von Microsoft zugegriffen und wie schützt Microsoft seine Kunden vor solchen Aktionen?
Antwort: Microsoft-Vertretern liegen keine unabhängigen Belege vor, dass die NSA auf unsere weltweiten Kommunikationsverbindungen zugegriffen hat. Die Washington Post berichtete zudem, dass es keinen Beweis dafür gebe, dass die NSA in gleicher Art und Weise auf Microsoft-Kommunikationsverbindungen zugegriffen hat, wie es bei Google und Yahoo der Fall war.
Als Reaktion auf diese sehr beunruhigenden Nachrichten hat Microsoft sofortige und koordinierte Aktionen angekündigt, um die Verschlüsselung auf den gesamten Lebenszyklus der von Kunden erzeugten Inhalte auszuweiten, Kundendaten rechtlich noch besser abzusichern und die Transparenz unseres Programmcodes zu erhöhen, so dass Kunden versichert sein können, dass unsere Produkte keine Hintertüren enthalten. Weitere Details im entsprechenden Blogbeitrag.
Frage: Was unternimmt Microsoft, um das Vertrauen in die Cloud wieder herzustellen? Welche Vorschläge macht Microsoft zur Reform der Überwachung?
Antwort: „Menschen nutzen keine Technik, der sie nicht vertrauen. Regierungen gefährden dieses Vertrauen und sie müssen daher mithelfen, es wieder her zu stellen.“ – Brad Smith, Executive Vice President & General Counsel, Legal and Corporate Affairs, Microsoft. Daher hat Microsoft sich mit AOL, Apple, Facebook, Google, LinkedIn, Twitter und Yahoo zusammen geschlossen, um Reformen zu unterstützen. Zu den einzelen Punkte gehören:
- Das Einschränken der Möglichkeiten für Regierungen, Anwender-Daten zu sammeln
- Kontrolle und Verantwortlichkeit
- Transparenz hinsichtlich der Forderungen der Regierung
- Respekt vor dem unkontrollierten Fluss von Informationen
- Vermeiden von Konflikten zwischen Regierungen
Frage: Hat Microsoft nicht kürzlich Daten veröffentlicht, aus denen hervorgeht, dass die US-Regierung auf Basis nationaler Sicherheitsgesetze Kundendaten verlangte?
Antwort: Es stimmt, Microsoft hat vor Kurzem neue Informationen veröffentlicht, um für mehr Transparenz im Zusammenhang mit den Anfragen der US-Regierung zu sorgen. Die Informationen belegten Art und Umfang der Anfragen, die auf nationale US-Sicherheitsgesetze und Foreign Intelligence Surveillance Act (FISA) basieren. Wir gaben die Zahl der Kundenkonten bekannt, die von diesen Anordnungen betroffen waren und ob die Anfrage sich auf von Kunden erzeugte Inhalte oder andere Daten bezog. Wir verklagten die US-Regierung, um diese Informationen veröffentlichen zu dürfen.
Obwohl diese Angaben ein Schritt zu mehr Transparenz sind, dürfen zwei Punkte nicht außer acht gelassen werden: Zum einen bedeutet der Empfang einer Anordnung nicht, dass die verlangten Daten auch herausgegeben wurden. Zum anderen steht die Zahl der betroffenen Konten nicht unbedingt in Zusammenhang mit der Zahl der betroffenen Einzelpersonen, da einzelne Anwender mehrere Konten haben können. Weitere Details hierzu im entsprechenden Blogbeitrag.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.